一种基于马氏距离技术的用户异常交易账号检测方法

摘要

本发明涉及一种基于马氏距离技术的用户异常交易账号检测方法，与现有技术相比解决了异常交易账号检测难以满足实际使用需求的缺陷。本发明包括以下步骤：用户账号活动数据的获取；构建交互网络有向图；egonet模型的初始化；待检测用户账号的数据获取；egonet模型的特征提取；用户异常交易账号的检测。本发明通过刻画和分析交易网络模型下用户账号的交易活动，来设计结构化图形数据的用户异常交易账号检测方法，提升了检测算法的性能，减少了对异常活动的遗漏。

说明书

技术领域

本发明涉及大数据处理技术领域，具体来说是一种基于马氏距离技术的用户异常交易账号检测方法。

背景技术

异常交易账号的检测是大数据安全性的核心问题，传统的基于统计分析和操作序列的检测方法无法全面地检测到用户账号的交易活动中异常行为。同时，基于统计分析和操作序列的检测方法分析的是独立的用户操作，无法判断出攻击者同时使用多个账号进行的恶意活动；基于局部密度或小团体的异常检测算法的AUC不高，会遗漏部分异常活动。

而基于结构化图形数据的分析具有强大的表示能力和对抗的鲁棒性，在异常检测逐渐得到重视。那么，如何开发出一种基于结构化图像数据的用户异常交易账号检测方法已经成为急需解决的技术问题。

发明内容

本发明的目的是为了解决现有技术中异常交易账号检测难以满足实际使用需求的缺陷，提供一种基于马氏距离技术的用户异常交易账号检测方法来解决上述问题。

为了实现上述目的，本发明的技术方案如下：

一种基于马氏距离技术的用户异常交易账号检测方法，包括以下步骤：

用户账号活动数据的获取：获取用户账号活动数据，用户账号活动数据包括用户登录频率、账号访问花费的总时间和用户拥有的交易账号数量；

构建交互网络有向图：基于用户账号活动数据构建交互网络有向图；

egonet模型的初始化：利用用户账号活动数据和交互网络有向图初始化egonet模型；

待检测用户账号的数据获取：获取待检测用户账号数据；

egonet模型的特征提取：将待检测用户账号数据输入初始化后的egonet模型，利用结构化图形提取出待检测用户账号数据的特征数据；

用户异常交易账号的检测：遍历每个节点与其他节点的马氏距离，检测出用户异常交易账号。

所述构建交互网络有向图包括以下步骤：

将账号交互关系建模为交易图，节点代表交互双方，即节点x和y；

对于两个节点x和y,节点x向节点y发送信息的活动表示为有向边e＝(x,y)，

交易网络表示为有向图g＝(v,e),其中v是所有节点的集合，e是所有边的集合，从x发出的边数代表节点x的出度、进入x的边数代表入度。

所述egonet模型的初始化包括以下步骤：

定义数组Egonets[v]，v＝{v

遍历有向图g(v,e)的每个节点，找到节点v

根据Egonets[v

根据Egonet[v

所述egonet模型的特征提取包括以下步骤：

计算Egonets[v

计算节点v

计算节点v

计算节点v

Lambda

Lambda

用户异常交易账号的检测包括以下步骤：

根据egonet模型所提取的特征，生成特征向量X

A

计算所有向量的均值U

设协方差矩阵S中样本与数据集的马氏距离表示为：

D

D

针对账号进行分析，若某个账号v

有益效果

本发明的一种基于马氏距离技术的用户异常交易账号检测方法，与现有技术相比通过刻画和分析交易网络模型下用户账号的交易活动，来设计结构化图形数据的用户异常交易账号检测方法，提升了检测算法的性能，减少了对异常活动的遗漏。

本发明利用交易网络模型分析交易活动，用egonet模型进行特征提取，由于采用了结构化图形作为异常检测的数据，与传统的非结构化数据和序列相比，能更好地反应数据的相互依赖性和问题域的关系性质，具有更强大的表示能力，更具有对抗性。本发明对用户交易账号进行了基于马氏距离的异常指数计算，相比于同类算法(如基于局部密度的算法)可以更好地捕捉异常行为，AUC高10％以上。

附图说明

图1为本发明的方法顺序图；

图2为现有技术中用户的登录频率展示图；

图3为现有技术中账号登录总时长展示图；

图4为现有技术中每个用户账号总数展示图；

图5为现有技术中每个账号的交易账号数展示图；

图6为现有技术中账号重合比例展示图；

图7为本发明所涉及的Egonet结构示意图；

图8为本发明所涉及的Egonet图的基征属性图，其中，a为总结点、b为总边数、c为总权重、d为邻接矩阵主特征值。

具体实施方式

为使对本发明的结构特征及所达成的功效有更进一步的了解与认识，用以较佳的实施例及附图配合详细的说明，说明如下：

如图2所示，其为现有技术中用户的登录频率展示图，描述了用户的登录频率，其中，官方网站登录的分布遵循幂律分布，第三方登录的分布的尾部异常重。图3显示每个账号访问网上银行所花费的总时间，代表了客户的粘性。图4显示每个用户拥有的交易账号数量。其中一些客户有数百个帐号，这些用户的行为是不正常的。

基于此，本发明使用社交网络中交互图的概念,将交易关系建模为交易图，节点代表付款人或收款人。对于两个节点x和y,节点x向节点y付款的活动可以表示为有向边e＝(x,y)。交易网络可表示为有向图g＝(v,e),其中v是所有节点的集合，e是所有边的集合。从x发出的边数代表节点x的出度，进入x的边数代表入度。图5展示了交易图的出度和入度的分布。出度和入度服从幕律分布，表明交易图是复杂网络理论中的无标度网络。交易网络与社交网络或Web网络的不同在于，高出度和高入度账户重合较少，如图6所示，其说明高出度账号和高入度账号是不同的群体。

如图1所示，本发明所述的一种基于马氏距离技术的用户异常交易账号检测方法，包括以下步骤：

第一步，用户账号活动数据的获取。获取用户账号活动数据，用户账号活动数据包括用户登录频率、账号访问花费的总时间和用户拥有的交易账号数量。

第二步，构建交互网络有向图：基于用户账号活动数据构建交互网络有向图。其具体步骤如下：

(1)将账号交互关系建模为交易图，节点代表交互双方，即节点x和y。

(2)对于两个节点x和y,节点x向节点y发送信息的活动表示为有向边e＝(x,y)，

交易网络表示为有向图g＝(v,e),其中v是所有节点的集合，e是所有边的集合，从x发出的边数代表节点x的出度、进入x的边数代表入度。

第三步，egonet模型的初始化：利用用户账号活动数据和交互网络有向图初始化egonet模型。

交易活动的图模型中一个账号(节点)与和它直接连接的账号形成图论中的egonet模型，即一个节点和与其直接相连的节点邻居构成的子网，如图7所示。

对于账号Ul,U1的邻居节点{U2,U3,U4,U7,U9,U10),U1与其邻居节点的边集{,vU1,U3>,vU1,U4>,vU1,U7>,vU1,U9>,vU1,U10>},U 1的邻居节点之间的边集{,vU2,U4>,vU7,U10>},共同构成了节点U1的egonet。

本发明从egonet的特征属性中选择了4个进行分析，分别是总节点(N)；总边数(E)；总权重(W)；邻接矩阵主特征值(λ)。其算法展示如下：

算法1用户交易网络Egonet特征计算

如算法1,本发明采取了以存储换性能的算法，在图的构造过程中，将每个节点相关的边和节点信息存在以该节点为key的变量中，计算egonet的特征时无需重新搜索整个图空间,避免了在节点过多时因直接搜索邻居的复杂度高而无法计算的问题。

如图8a、图8b、图8c和图8d所示，egonet的四个特征均服从幂律分布，存在均值，不存在方差，再用马氏距离(Mahalanobis distance)对账号进行异常值评估。最后，基于统计学习理论的算法，适用于有监督的学习问题。而本发明中的无监督的学习问题适合用马氏距离来处理没有标记数据的情况，且其对异常性有较好的排序。

所述egonet模型的初始化包括以下步骤：

(1)定义数组Egonets[v]，v＝{v

(2)遍历有向图g(v,e)的每个节点，找到节点v

(3)根据Egonets[v

(4)根据Egonet[v

第四步，待检测用户账号的数据获取：获取待检测用户账号数据。

第五步，egonet模型的特征提取：将待检测用户账号数据输入初始化后的egonet模型，利用结构化图形提取出待检测用户账号数据的特征数据。

(1)计算Egonets[v

(2)计算节点v

(3)计算节点v

(4)计算节点v

Lambda

Lambda

第六步，用户异常交易账号的检测：遍历每个节点与其他节点的马氏距离，检测出用户异常交易账号。

(1)根据egonet模型所提取的特征，生成特征向量X

A

(2)计算所有向量的均值U

(3)设协方差矩阵S中样本与数据集的马氏距离表示为：

D

D

(4)针对账号进行分析，若某个账号v

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是本发明的原理，在不脱离本发明精神和范围的前提下本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明的范围内。本发明要求的保护范围由所附的权利要求书及其等同物界定。